Vlákno názorů k článku Phishingový útok výměnou IDN znaků v doméně znovu na scéně od Přezdívka? To jsou ale novinky. - Snažili se uchránit uživatele před angličtinou a hodili...
-
Snažili se uchránit uživatele před angličtinou a hodili je někomu do sítě.
Nestačilo by zobrazit "zabezpečeno | https://www.xn--80ak6aa92e.com/ (https://www.apple.com)"?
Stejně se mi nelíbí i nápady schovávat https a www. To už by mohly adresní řádek schovat úplně. Ňoumové ho stejně nepoužívají a píší všechno do hledací řádky seznamu (nebo jiného místního vyhledávače). -
Filip JirsákStříbrný podporovatelIDN jsou identifikátory pro uživatele, zobrazovat cokoli jiného než IDN je nesmysl, protože uživatel neví, o co jde. Pokud se doménové názvy mají používat jako identifikátor (tak už to je a už to nikdo nezmění), musí registry nastavit pravidla pro to, aby nebylo možné vizuálně podobné domény registrovat. U národních domén je to docela snadné, generické domény to budou mít komplikovanější, protože to znamená blokovat registrace v závislosti na již registrovaných jménech. Protože legitimní je registrace domény apple.com i аррӏе.com, záleží jen na tom, kdo přijde první.
Na webu pak samozřejmě také pomůže, až bude HTTPS všude a doménové certifikáty se budou kontrolovat bez asistence uživatele, a zabezpečení navíc budou OV a EV certifikáty, jejichž jméno se bude u adresy zobrazovat. Pak se uživatelé naučí, že u důležitých webů musí být zobrazené správné jméno. Je nereálné chtít po uživatelích, aby kontrolovali vše, co by měli kontrolovat dnes – HTTP vs. HTTPS, DV certifikát vs. OV vs. EV, ASCII doména vs. IDN… -
ak (neregistrovaný)
> DN jsou identifikátory pro uživatele, zobrazovat cokoli jiného než IDN je nesmysl, protože uživatel neví, o co jde.
nesouhlasim, kdyz kliknu na apple.com (a chci na ascii apple.com), browser by mi mel zobrazit jak navrhoval kolega vyse: apple.com: (xn-idn-garbage-blabla) ---a ja si posoudim, jestli jsem chtel na ascii verzi, nebo na tu idn
-
Filip JirsákStříbrný podporovatel
Vy to možná posoudíte, ale uživatelé obecně vůbec netuší, co je nějaká
xn--. Navíc domény nejsou jenom webové prohlížeče. Doménu můžete mít klidně napsanou někde na papíře, nepomůže tedy žádné technické řešení dodatečně něco kontrolovat – jedinečnost je nutné zajistit už při registraci. -
anon (neregistrovaný)
pouzivatel sice nemusi vediet co je xn-- a ani mu to netreba vediet, pretoze ked bude v browser vidiet ze je na xn--lalalla namiesto www.mojabanka.sk tak to dojde uplne kazdemu ze oops nieco je zle...
nechapem co si chcel povedat tym ze mozes mat domenu zapisanu na papiery, to akoze ked budes z papiera opisovat apple.com tak sa mozes pomylit a napisat to vazbuke a dostanes sa na fake apple.com ???
-
Filip JirsákStříbrný podporovatel
Ne, když se uživateli zobrazí změť znaků, tak si bude myslet, že je to nějaká úprava prohlížeče, nebo dokonce že je to nějaké zabezpečení.
Navíc celé IDN vzniklo kvůli tomu, aby se mohly používat lidsky čitelné názvy, takže zobrazovat punnycode je jaksi krok zpět. To můžete taky rovnou vylepšit tak, že se nebudou používat DNS názvy ale IP adresy.
Domény se dnes používají jako identifikátory, zdaleka je nepoužívají jen webové prohlížeče. Takže bránit se není možné na straně prohlížečů, ale je potřeba zařídit, aby jako identifikátory skutečně fungovaly – tj. kolizní domény nesmí jít ani zaregistrovat.
Z papíru ten identifikátor nemusím opisovat, ale můžu ho třeba kontrolovat. Opíšu třeba adresu http://bit.ly/12345 a pod tím budu mít, že mám zkontrolovat, že jsem byl přesměrován na adresu sales.europe.apple.com. Podstatné není to, že je to na papíře, ale že je to jednoznačný identifikátor, který je takhle někde daný a nebude tam možnost převádět to na punnycode. Ta adresa může být v PDF dokumentu, v e-mailu, v komentáři na Rootu – není možné tam všude implementovat převádění domén na punnycode. A nedávalo by to žádný smysl. -
j (neregistrovaný)
Uzivateli je uplne urite co se mu zobrazi v url ... kdyz se ho to zepta na pin ke karte, tak ho zada ... kdyby takovych debilu nebyly miliony, tak myslis ze by se vyplatilo rozesilat spam?
Co myslis ze ti reknou v bance (zcela libovolny) kdyz ti browser nebo cokoli zacne hlasat, ze certifikat je ... revokovanej/expirovanej/....cokoli ... ??? Reknou ti, abys to odklip.
-
Ondřej CaletkaZlatý podporovatelMimochodem, ta pravá doména Apple.com má ve skutečnosti EV certifikát. Bohužel, jde o certifikát od Symantecu, který Chrome za EV nepovažuje.
Pak je ještě otázka, jestli by náhodou nebylo možné získat EV certifikát i pro falešnou doménu. Třeba založit ruskou firmu s takovým názvem a jejím jménem o certifikát požádat.
-
Filip JirsákStříbrný podporovatel
To už by si měl zařídit Apple, certifikační autoritu vyměnit a požadovat od Symantecu nějaké odškodnění. To je holt součást trestu pro tu certifikační autoritu, když nebyla schopná zajistit důvěryhodnost. Ostatně to, že od ní budou odcházet zákazníci, je jediný skutečný trest – změna důvěryhodnosti v prohlížečích je jen prostředek, jak toho dosáhnout.
EV certifikáty by neměly být jen dražší a možná trochu přísnější ověření daného subjektu, ale měly by zajišťovat i právě i ochranu (registrovaných) značek apod. To je jediný smysl, který můžou EV certifikáty mít.
Akorát se trochu bojím, kdy se toho pročištění certifikačních autorit dočkáme. Vedlo by k tomu rozšíření DANE, kdy by přestaly mít smysl DV certifikáty a certifikační autority by se musely začít zabývat tím, jak za ty peníze poskytovat skutečně něco důvěryhodného. Jenže prohlížeče DANE bojkotují, což vedlo ke vzniku Let's Encrypt a tedy k přesně opačnému tlaku na autority – vydávat co nejvíce certifikátů s co nejnižšími náklady. Doufám, že tahle zajížďka nebude trvat moc dlouho…
-
Podle mě obyčejný uživatel nemá o EV certifikátu potažmo "zeleném adresném řádku" moc tušení. Zkoušel jsem najít, zda někdy vůbec zkoušel udělat o tom průzkum (třeba CAB fórum), ale nenašel jsem žádný výsledek.
EV certifikáty se posuzují dost striktně vůči velmi známým značkám - CA mají blacklist a něco, co se podobá na apple nebo paypal neprojde (minimálně v gTLD jako .com, .net apod). Nicméně pro nějakou bohem a finančním úřadem zapomenutou firmu v Jakazačistánu to nikdo takhle podrobně ověřovat nebude, zda je to "Ahmed's Cars and Used Certificates" nebo její konkurent "Ahmed's Teapots and Used Certificates".
